(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112230935A(43)申请公布日2021.01.15(21)申请号202011209594.9(22)申请日2020.11.03(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人曹世杰(74)专利代理机构北京君慧知识产权代理事务所(普通合伙)11716代理人吴绍群(51)Int.Cl.G06F8/53(2018.01)G06F8/71(2018.01)G06F21/62(2013.01)权利要求书3页说明书11页附图3页(54)发明名称一种应用内的隐私风险检测方法、装置以及设备(57)摘要本说明书实施例公开了一种应用内的隐私风险检测方法、装置以及设备。方案包括：获取应用的不同版本分别的代码；对代码进行识别，得到代码内的控制流图；对不同版本分别对应的控制流图进行比较，以确定对预定的隐私数据的使用变化数据，及其涉及的条件分支变化数据；根据使用变化数据和条件分支变化数据，判定不同版本是否存在隐私风险。CN112230935ACN112230935A权利要求书1/3页1.一种应用内的隐私风险检测方法，包括：获取应用的不同版本分别的代码；对所述代码进行识别，得到所述代码内的控制流图；对所述不同版本分别对应的所述控制流图进行比较，以确定对预定的隐私数据的使用变化数据，及其涉及的条件分支变化数据；根据所述使用变化数据和所述条件分支变化数据，判定所述不同版本是否存在隐私风险。2.如权利要求1所述的方法，所述获取应用的不同版本分别的代码，具体包括：获取应用的不同版本分别的二进制文件；对所述二进制文件进行反汇编，得到相应的汇编代码。3.如权利要求1所述的方法，所述确定对预定的隐私数据的使用变化数据，及其涉及的条件分支变化数据，具体包括：针对所述不同版本，确定包含了对预定的隐私数据的使用行为的新增函数；根据所述新增函数，确定对预定的隐私数据的使用变化数据，及其涉及的条件分支变化数据。4.如权利要求1所述的方法，所述根据所述使用变化数据和所述条件分支变化数据，判定所述不同版本是否存在隐私风险，具体包括：根据所述使用变化数据，确定所述不同版本中对预定的隐私权限调用接口的调用行为；根据所述条件分支变化数据，确定所述不同版本中是否存在以所述调用行为作为条件分支的条件判断行为；根据所述确定的结果，判定所述不同版本是否存在隐私风险。5.如权利要求4所述的方法，所述根据所述确定的结果，判定所述不同版本是否存在隐私风险，具体包括：若所述不同版本中存在以所述调用行为作为条件分支的条件判断行为，则根据所述条件判断行为下的条件分支的数量，判定所述不同版本是否存在隐私风险。6.如权利要求4所述的方法，所述对所述代码进行识别，得到所述代码内的控制流图，具体包括：识别所述代码中的跳转指令；根据所述跳转指令，将所述代码划分为相应的代码块；根据所述代码块之间的关系，确定所述代码内的控制流图。7.如权利要求6所述的方法，所述条件判断行为的不同条件分支属于不同的代码块；所述对所述不同版本分别对应的所述控制流图进行比较，具体包括：对所述不同版本分别对应的所述控制流图包含的代码块进行比较。8.如权利要求4所述的方法，所述不同版本包括第一版本和对所述第一版本更新后得到的第二版本；所述根据所述条件分支变化数据，确定所述不同版本中是否存在以所述调用行为作为条件分支的条件判断行为，具体包括：确定所述第一版本和所述第二版本中均存在对预定的隐私权限调用接口的调用行为，2CN112230935A权利要求书2/3页且所述第一版本中不存在以所述调用行为作为条件分支的条件判断行为；根据所述条件分支变化数据，确定所述第二版本中是否存在以所述调用行为作为条件分支的条件判断行为。9.如权利要求6所述的方法，所述不同版本包括第一版本和对所述第一版本更新后得到的第二版本；所述根据所述确定的结果，判定所述不同版本是否存在隐私风险，具体包括：确定所述第一版本的第一代码块中不存在对预定的隐私权限调用接口的调用行为；确定所述第二版本中是否存在以所述调用行为作为条件分支的条件判断行为；若是，则确定所述第二版本的属于所述条件判断行为的不同条件分支的第二代码块和第三代码块，其中，所述第二代码块与所述第一代码块相对应；确定所述第三代码块是否包含所述调用行为；根据所述确定的结果，判定所述不同版本是否存在隐私风险。10.一种应用内的隐私风险检测装置，包括：代码获取模块，获取应用的不同版本分别的代码；流图生成模块，对所述代码进行识别，得到所述代码内的控制流图；流图比较模块，对所述不同版本分别对应的所述控制流图进行比较，以确定对预定的隐私数据的使用变化数据，及其涉及的条件分支变化数据